本文档列出了适用于 Cloud 新一代防火墙的配额和限制。
- 配额具有默认值,但您通常可以申请调整。
- 系统限制是无法更改的固定值。
Google Cloud 使用配额来帮助确保公平性并减少资源使用和可用性的激增。配额用于限制您的 Google Cloud 项目可使用的Google Cloud 资源的数量。配额适用于一系列资源类型,包括硬件、软件和网络组件。例如,配额可以限制对某项服务的 API 调用次数、您的项目并发使用的负载均衡器数量或者您可以创建的项目数量。配额可以防止服务过载,从而保护Google Cloud 用户社区。配额还可以帮助您管理自己的 Google Cloud 资源。
Cloud 配额系统执行以下操作:
在大多数情况下,当您尝试消耗的资源超出其配额允许的范围时,系统会阻止对资源的访问,并且您尝试执行的任务会失败。
配额通常在 Google Cloud 项目级层应用。您在一个项目中使用资源不会影响您在另一个项目中的可用配额。在 Google Cloud 项目中,配额在所有应用和 IP 地址间共享。
如需了解详情,请参阅 Cloud 配额概览。Cloud NGFW 资源也有系统限制。系统限制不能更改。
配额
本部分列出了适用于 Cloud 新一代防火墙的配额。
如需监控使用 Cloud Monitoring 的每个项目的配额,请对 Consumer Quota 资源类型的指标 serviceruntime.googleapis.com/quota/allocation/usage 设置监控。设置其他标签过滤条件(service、quota_metric)以获取配额类型。如需了解如何监控配额指标,请参阅图表和监控配额指标。每个配额都有限制值和用量值。
除非另有说明,否则如需更改配额,请参阅申请配额调整。
每个项目
下表重点介绍了针对每个项目的 Cloud NGFW 配额:
| 配额 | 说明 |
|---|---|
| VPC 防火墙规则 | 您可以在项目中创建的 VPC 防火墙规则的数量,无论每条防火墙规则应用于哪个 VPC 网络。 |
| 全球网络防火墙政策 | 项目中的全球网络防火墙政策的数量,无论每个政策关联的 VPC 网络数量如何。 |
| 区域级网络防火墙政策 | 项目中每个区域的区域级网络防火墙政策的数量,无论每个政策关联的 VPC 网络数量如何。 |
| 每个项目的全球地址组 | 您可以在一个项目中定义的全球项目级地址组的数量。 |
| 每个区域每个项目的区域级地址组 | 您可以在项目的每个区域中定义的区域级项目级地址组的数量。 |
每个组织
下表重点介绍了针对每个组织的 Cloud NGFW 配额。如需更改组织级配额,请提交支持请求。
| 配额 | 说明 |
|---|---|
| 组织中未关联的分层防火墙政策 | 组织中未与任何文件夹或组织资源关联的分层防火墙政策的数量。组织中与资源关联的分层防火墙政策的数量没有限制。 |
| 每个组织的全球地址组 | 您可以在组织中定义的全球组织级地址组的数量。 |
| 每个区域每个组织的区域级地址组 | 您可以在组织中的每个区域内定义的区域级组织范围地址组的数量。 |
每个网络
以下配额适用于 VPC 网络:
| 配额 | 说明 |
|---|---|
| 每个 VPC 网络在每个区域中的区域级网络防火墙政策关联数量 | 您可以与 VPC 网络的区域关联的区域级网络防火墙政策数量上限。 |
| 每个 VPC 网络每个区域的防火墙规则属性数量 | VPC 网络区域中所有关联的区域级网络防火墙政策的规则的规则属性数量上限。 |
| 每个 VPC 网络每个区域的防火墙规则 FQDN | VPC 网络区域中所有关联的区域级网络防火墙政策中的规则所包含的 FQDN 的数量上限。 |
每个防火墙政策
下表重点介绍了针对每个防火墙政策资源的 Cloud NGFW 配额:
| 配额 | 说明 |
|---|---|
| 分层防火墙政策 | |
| 每个分层防火墙政策的规则属性 | 此配额是分层防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每个分层防火墙政策的域名 (FQDN) | 可以包含在分层防火墙政策的所有规则中的域名数量。此配额是政策中所有入站流量规则的所有来源域名的总和,加上政策中所有出站流量规则的所有目的地域名的总和。 |
| 全球网络防火墙政策 | |
| 每个全球网络防火墙政策的规则属性数量 | 全球网络防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每个全球网络防火墙政策的域名 (FQDN) | 可以包含在全球网络防火墙政策的所有规则中的域名数量。此配额是政策中所有入站流量规则的所有来源域名的总和,以及政策中所有出站流量规则的所有目标域名的总和。 |
| 区域级网络防火墙政策 | |
| 每个区域级网络防火墙政策的规则属性数量 | 区域级网络防火墙政策中所有规则的规则属性总和。如需了解详情,请参阅规则属性计数详细信息。 |
| 每个区域级网络防火墙政策的域名 (FQDN) | 可以包含在区域级网络防火墙政策的所有规则中的域名 (FQDN) 数量:此配额是政策中所有入站规则的所有来源域名的总和,以及政策中所有出站规则的所有目的地域名的总和。 |
规则属性计数详细信息
每个防火墙政策支持政策中所有规则的最大属性总数。如需确定给定防火墙政策的规则属性计数,请描述该政策。如需查看相关说明,请参阅以下内容:
- 在分层防火墙政策文档中描述政策
- 描述全球网络防火墙政策
- 描述区域级网络防火墙政策
下表列出了示例规则以及每个示例规则的属性计数。
| 示例防火墙规则 | 规则属性计数 | 说明 |
|---|---|---|
来源 IP 地址范围为 10.100.0.1/32、协议为 tcp、端口范围为 5000-6000 的入站允许防火墙规则。 |
3 | 一个来源范围、一项协议、一个端口范围。 |
来源 IP 地址范围为 10.0.0.0/8, 192.168.0.0/16、目标 IP 地址范围为 100.64.0.7/32、协议为 tcp 和 udp、端口范围为 53-53 和 5353-5353 的入站拒绝防火墙规则。 |
11 | 有四种协议和端口组合:tcp:53-53、tcp:5353-5353、udp:53-53 和 udp:5353-5353。每个协议和端口的组合都使用两个属性。两个来源 IP 地址范围各有一个属性,目标 IP 地址范围有一个属性,协议和端口组合有 8 个属性,因此,属性数量总共有 11 个。 |
来源 IP 地址范围为 100.64.0.7/32、目标 IP 地址范围为 10.100.0.1/32, 10.100.1.1/32、tcp:80、tcp:443 和 udp:4000-5000 的出站拒绝防火墙规则。 |
9 | 协议和端口组合扩展为三种:tcp:80-80、tcp:443-443 和 udp:4000-5000。每个协议和端口的组合都使用两个属性。来源范围有一个属性,两个目标 IP 地址范围各有一个属性,协议和端口组合有 6 个属性,因此,属性数量总共有 9 个。 |
限制
除非特别说明,否则无法提高限制。
每个组织
以下限制适用于组织:
| 内容 | limit | 备注 |
|---|---|---|
| 每个组织的安全标记键的数量上限 | 1000 | 具有父组织的的安全标记键的数量上限。 如需了解详情,请参阅标记限制。 |
所有标记键(其 purpose 为 GCE_FIREWALL 且 purpose-data 为组织)使用的安全标记值的数量上限
|
16384 | 此限制适用于与目的数据匹配的组织中创建的标记键所使用的所有标记值,包括父级为相应组织或其中某个项目的标记键。 |
| 每个组织的网址过滤安全配置文件 | 40 | 您可以为每个组织创建的网址过滤安全配置文件的数量上限。 |
| 每个组织的威胁防护安全配置文件 | 40 | 您可以为每个组织创建的威胁防护类型的安全配置文件数量上限。 |
| 每个组织的威胁防护安全配置文件组 | 40 | 您可以为每个组织创建的使用威胁防护安全配置文件的安全配置文件组数量上限。 |
| 每个组织的安全配置文件组(含网址过滤) | 40 | 您可以为每个组织创建的使用网址过滤安全配置文件的安全配置文件组数量上限。 |
| 每个组织每个可用区的防火墙端点 | 50 | 您可以为每个组织的每个可用区创建的防火墙端点数量上限。 |
每个项目
以下限制适用于项目:
| 项 | limit | 备注 |
|---|---|---|
| 每个项目的安全标记键的数量上限 | 1000 | 具有父项目的安全标记键的数量上限。 如需了解详情,请参阅标记限制。 |
每个网络
以下限制适用于 VPC 网络:
| 内容 | 限额 | 备注 |
|---|---|---|
| 每个网络的全球网络防火墙政策的数量上限 | 1 | 您可以与 VPC 网络关联的全球网络防火墙政策数量上限。 |
| 每个网络的域名 (FQDN) 数量上限 | 1000 | 来自与 VPC 网络关联的分层防火墙政策、全球网络防火墙政策和区域网络防火墙政策的防火墙规则中可使用的最大域名总数。 |
所有标记键(其 purpose 为 GCE_FIREWALL 且 purpose-data 为 VPC 网络)使用的安全标记值上限
|
16383 | 此限制会针对 purpose-data 与指定 VPC 网络匹配的标记键所使用的所有标记值强制执行,包括父级为组织或项目的标记键。
|
| 每个网络每个可用区的防火墙端点 | 1 | 您可以为每个网络的每个可用区分配的防火墙端点数量上限。 |
每条防火墙规则
以下限制适用于防火墙规则:
| 内容 | 限额 | 备注 |
|---|---|---|
| 每个入站防火墙政策规则的来源安全标记的数量上限 | 256 | 仅适用于入站流量防火墙政策规则,即防火墙规则中可用作来源标记的安全标记的数量上限。此限制无法提高。 |
| 每个防火墙政策规则的目标安全标记的数量上限 | 256 | 仅适用于防火墙政策规则,即防火墙规则中可用作目标标记的安全标记的数量上限。此限制无法提高。 |
| 每个入站流量 VPC 防火墙规则的来源网络标记的数量上限 | 30 | 仅适用于入站流量 VPC 防火墙规则,即防火墙规则中可用作来源标记的网络标记的数量上限。此限制无法提高。 |
| 每个 VPC 防火墙规则的目标网络标记数量上限 | 70 | 仅适用于 VPC 防火墙规则,即防火墙规则中可用作目标标记的网络标记的数量上限。此限制无法提高。 |
| 每个入站流量 VPC 防火墙规则的源服务账号数量上限 | 10 | 仅适用于入站流量 VPC 防火墙规则,即防火墙规则中可用作来源的服务账号数量上限。此限制无法提高。 |
| 每条防火墙规则的目标服务账号数量上限 | 10 | 可用作 VPC 防火墙规则或防火墙政策中的规则的目标的服务账号数量上限。此限制无法提高。 |
| 每条防火墙规则的源 IP 地址范围数量上限 | 5,000 | 您可以在 VPC 防火墙规则或防火墙政策中的规则中指定的来源 IP 地址范围数上限。IP 地址范围仅限 IPv4 或仅限 IPv6。此限制无法提高。 |
| 每条防火墙规则的目标 IP 地址范围数量上限 | 5,000 | 您可以在 VPC 防火墙规则或防火墙政策中的规则中指定的目标 IP 地址范围数上限。IP 地址范围仅限 IPv4 或仅限 IPv6。此限制无法提高。 |
| 防火墙政策中每个入站流量防火墙规则的源地址组数量上限 | 10 | 您可以在防火墙政策的入站流量防火墙规则中指定的来源地址组数上限。此限制无法提高。 |
| 防火墙政策中每条防火墙规则的目标地址组数量上限 | 10 | 您可以在防火墙政策中的出站流量防火墙规则中指定的目标地址组数上限。此限额无法提高。 |
| 防火墙政策中每条防火墙规则的域名 (FQDN) 数量上限 | 100 | 防火墙政策的规则中可以包含的域名 (FQDN) 的数量。此限制无法提高。 |
按地址组
以下限制适用于 Cloud NGFW 使用的地址组。
| 项 | 限额 | 备注 |
|---|---|---|
| 每个地址组的 IP 地址数量上限 | 1000 | 单独应用于 Cloud NGFW 使用的每个地址组。地址组可以是全球项目级地址组;全球组织级地址组;区域项目级地址组;或区域组织级地址组。 |
每个防火墙端点
以下限制适用于防火墙端点:
| 内容 | 限额 | 备注 |
|---|---|---|
| 每个防火墙端点的关联 | 50 | 可与一个防火墙端点关联的 VPC 网络数量上限。您可以在同一可用区中创建其他防火墙端点,以避免此限制。 |
| 使用传输层安全协议 (TLS) 时每个连接的最大吞吐量 | 250 Mbps | 启用 TLS 检查时,每个连接的最大吞吐量。 |
| 不使用 TLS 时每个连接的最大吞吐量 | 1.25 Gbps | 不进行 TLS 检查时,每个连接的最大吞吐量。 |
| 使用 TLS 的最大流量 | 2 Gbps | 防火墙端点通过 TLS 检查可以处理的最大流量。 |
| 不使用 TLS 的最大流量 | 10 Gbps | 防火墙端点在不进行 TLS 检查的情况下可以处理的最大流量。 |
每个安全配置文件
以下限制适用于安全配置文件:
| 内容 | 限额 | 备注 |
|---|---|---|
| 每个安全配置文件的匹配器字符串数量 | 500 | 您可以添加到网址过滤安全配置文件的匹配器字符串数量上限。 |
| 每个安全配置文件的威胁替换项数量 | 100 | 您可以在威胁防护安全配置文件中添加的威胁替换项数量上限。 |
每个安全标记
以下限制适用于安全标记:
| 项 | 限额 | 备注 |
|---|---|---|
| 每个标记键的安全标记值数量上限 | 1000 | 您可以为每个标记键添加的安全标记值的数量上限。 如需了解详情,请参阅标记限制。 |
每个虚拟机的网络接口
以下限制适用于虚拟机 (VM) 网络接口:
| 项 | 限额 | 备注 |
|---|---|---|
| 附加到虚拟机网络接口的安全标记值的数量上限 | 10 | 可附加到每个虚拟机网络接口的安全标记值的数量上限。如需详细了解防火墙安全标记的规范,请参阅规范。 如需了解网络限制,请参阅每个网络的限制。 |
管理配额
出于各种原因,Cloud Next Generation Firewall 会对资源用量实施配额限制。例如,配额可避免出现意料之外的用量突增,从而为 Google Cloud 用户社区提供保护。配额还可帮助正在通过免费层级探索 Google Cloud 的用户避免中断试用。
所有项目在开始时都具有相同的配额,您可以通过申请更多配额来进行更改。根据您使用产品的情况,一些配额可能会自动增加。
权限
如需查看配额或申请增加配额,Identity and Access Management (IAM) 主账号需要具备以下某个角色:
| 任务 | 所需角色 |
|---|---|
| 检查项目的配额 | 以下之一:
|
| 修改配额,申请更多配额 | 以下之一:
|
查看您的配额
控制台
- 在 Google Cloud 控制台中,进入配额页面。
- 如需搜索要更新的配额,请使用过滤表。 如果您不知道配额的名称,请使用此页面上的链接。
gcloud
使用 Google Cloud CLI 运行以下命令来查看您的配额。请将 PROJECT_ID 替换为您自己的项目 ID。
gcloud compute project-info describe --project PROJECT_ID如需查看您在某一区域中已使用的配额,请运行以下命令:
gcloud compute regions describe example-region
超出配额时引发的错误
如果在发出 gcloud 命令时超过了配额,gcloud 会显示一条 quota exceeded 错误消息,并返回退出代码 1。
如果在发出 API 请求时超出了配额, Google Cloud 会返回以下 HTTP 状态代码:413 Request Entity Too Large。
申请更多配额
如需调整大多数配额,请使用 Google Cloud 控制台。如需了解详情,请参阅申请配额调整。
资源可用性
每个配额代表您可以创建的特定类型资源的数量上限(如果该资源可用)。必须要注意的是,配额无法保证资源可用性。即使您具有可用配额,如果新资源不可用,您也无法创建新资源。
例如,您的配额可能足以在给定区域中创建新的区域级外部 IP 地址。但是,如果该区域中没有可用的外部 IP 地址,则无法执行此操作。可用区级资源可用性也会影响您能否创建新资源。
导致资源在整个区域不可用的情况非常罕见。但是,地区内的资源有时可能会耗尽,通常不会影响资源类型的服务等级协议 (SLA)。如需了解详情,请参阅资源的相关 SLA。